Note 2: we will discuss not only standard probes and compiling dossiers on individuals and legal entities, but also the entire field of cyber intelligence, including the creation of tools, the ability to conduct complex international investigations, social engineering, building your own security model, etc. It's an art form in itself :)

Just a couple of years ago, multitasking and versatility were unique skills that were highly valued. Now, they have become basic cyber intelligence skills if you want to stay up to date, have relevant and effective tools and connections, and solve non-trivial problems with massive amounts of data. All of this is greatly influenced by the development of AI.

In order to maintain and raise the professional bar, you need to possess and be able to use:

1. Basic programming. Python (pipelines for automation, parsers, scripts for data processing, ml, etc.), bash\shell (must be able to deploy tools).
2. Working with AI. Be able to compose prompts (and for this you need to know how they work), evaluate the strengths of different models, bypass restrictions, check, correct, and verify data, etc.
3. Social engineering. Communicating with people is extremely important. Communication can be viewed from two sides: from the perspective of exchanging experiences, ideas, opportunities, contacts, mutual assistance, and from the perspective of the ability to obtain unique information about what you need. Both options require extensive experience in interacting with people, both ordinary and specialized.
4. To build your own security model, you need a large block of at least basic knowledge about: how networks work (for example, for VPNs, leaving digital traces, etc.), how different operating systems work in terms of convenience for different tasks, security, anonymity, protection, how browsers work, how phones and other technical devices that you use in your work work. It is also worth highlighting the aspect of knowledge about the algorithms used by the police and special agencies. Frankly speaking, in the current times, it is desirable for everyone to know this.
5. Analytics. Verification, the ability to objectively evaluate data and sources, the ability to write scripts if you work with large amounts of data, evaluating your results, building work algorithms. There are even workshops on verification (for example, Bellingcat).
6. Disinformation analysis (research into information operations) deserves a separate mention. IMHO, no justification is needed here, as with the point below :)
7. GeoINT.
8. Basic knowledge of cryptocurrency.
9. Proficiency in languages (at least English) and broad knowledge. It may seem strange, but you never know what segment of the internet you will end up in and why. Sometimes you have to learn about the quality and durability of bricks, sometimes you have to understand military technology, and sometimes you have to dig through arab marketplaces.
10. Ability to work with data leaks: monitoring, searching databases, processing.
11. Ability to work in onion, knowing where to get or buy information.
12. Monitoring specialists, tools, and news for professional self-education.
13. Ability to work with different types of data (how to investigate social networks, what can be done with full name + date of birth, how to investigate a phone number, etc.). It is worth highlighting multimedia verification (images, video, audio, deepfake analysis, out-of-context media, provenance, metadata, content origin chain). For example, at OScon'25 in Zurich, there was a separate report on audio forensics in journalism. In addition to this, there is graph-centric analysis. Connection graphs are currently trending because they are convenient.
14. This is the point marked with an asterisk. Working with application APIs to be able to retrieve unprotected data. I am currently trying to learn this using Telegram as an example.

Some people sometimes add a section on reproducibility and evidence discipline. To be honest, I just record the entire investigation process and don't worry too much about it. Wherever I need to attach a source or trace the path of information, everything is there. I have my own report formats, and sometimes I tailor them to the client's preferences.

There is one more point I would add, but it is very specific. I have been working on this myself for some time. It is the creation of a local information and analytical system.

Examples:

- https://www.worldmonitor.app/

- https://arxiv.org/abs/2503.03215 (but the manuscript was later withdrawn)

- https://x.com/bilawalsidhu/status/2024672151949766950?s=67

I will tell you a little about my project. I cannot describe all the planned features for obvious reasons, but nevertheless.

What will be included in the basic tasks of the IAS?

1. Collection and processing of data from diverse sources (primary processing, normalization, preparation)
2. Extraction of facts, events, entities, and relationships (using ML+IE models such as OneIE\DyGIE\TARS)
3. Building an internal knowledge base (based on Neo4j to start with, with vector search, indexing, fact enrichment, etc.)
4. Additional processing using local LLM with RAG (llama.cp)
5. Convenient visualization

Additional features are planned, but there is no point in talking about them yet, because I am only raising the MVP at the moment.

I expect this to be very helpful when working with projects that have many entities. However, for security reasons, a local deployment is required; Maltego is not suitable in this regard.

These are challenging times...

Примечание 2: речь будет идти не только о стандартных пробивах и составлении досье на физ и юр лиц, а про всю область киберразведки, включая создание инструментов, умения вести сложные международные расследования, социнж, выстраивание модели собственной безопасности и т.д. Это же целое искусство :)

Еще пару лет назад многозадачность и универсальность были уникальным навыком, за который очень ценили. Сейчас же это уже стало базовым навыком киберразведки, если вы хотите оставаться в курсе происходящего, обладать актуальным и эффективным инструментарием, связями и решать нетривиальные задачи с массивным объемом данных. На все это очень сильно влияет развитие AI.

Для того, чтобы сохранять и повышать профессиональную планку, необходимо обладать и уметь пользоваться:

1. Базовое программирование. Питон (пайплайны для автоматизации, парсеры, скрипты для обработки данных, ml и тд), bash\shell (нужно уметь разворачивать инструменты).
2. Работа с AI. Уметь составлять промпты (а для этого нужно знать, как они примерно работают), оценивать сильные стороны разных моделей, обходить запреты, проверять, корректировать и верифицировать данные и тд
3. Социальная инженерия. Общение с людьми крайне важно. При чем общение можно рассматривать с двух сторон: со стороны обмена опытом, идеями, возможностями, контактами, взаимопомощи и со стороны умения добывать уникальную информацию о том, что вам нужно. Оба варианта требуют большого опыта взаимодействия с людьми, как обычного, так и специального
4. Для построения модели собственной безопасности нужен большой блок хотя бы базовых знаний о: как работают сети (например, для VPN, оставление цифровых следов и тд), как работают разные операционные системы с точки зрения удобства под разные задачи, безопасности, анонимности, защищенности, как работают браузеры, как работают телефоны и другие технические устройства, которые вы задействуете в работе. Отдельно стоит выделить аспект, касающийся знаний об алгоритмах работы полиции и спецслужб. Откровенно говоря, в текущие времена это желательно знать всем.
5. Аналитика. Верификация, умение объективно оценивать данные и источники, умение писать скрипты, если работаете с большим количеством данных, оценивание своих результатов, построение алгоритмов работы. По верификации даже воркшопы устраивают (например, те же Bellingcat)
6. Отдельно стоит выделить disinformation analysis (исследование информационных операций). Имхо, тут даже обоснований никаких не требуется, как и для пункта ниже :)
7. GeoINT.
8. Базовые знания по криптовалюте.
9. Обязательное знание языков (хотя бы английского) и большой кругозор. Это может быть странно, но никогда не знаешь, в какой сегмент интернета тебя занесет и зачем. Иногда приходится узнавать про качество и долговечность кирпичей, иногда разбираться в военной технике, иногда копаться в арабских маркетплейсах.
10. Умение работать с утечками данных: мониторинг, поиск баз, обработка.
11. Умение работать в onion, знать, где какую информацию можно добыть или купить.
12. Мониторинг специалистов, инструментов и новостей для профессионального самообразования
13. Умение работать с разными типами данных (как исследовать социальные сети, что можно сделать с ФИО+ДР, как исследовать номер телефона и тд). Стоит выделить multimedia verification (изображения, видео, аудио, анализ дипфейков, out-of-context media, provenance, метаданные, цепочка происхождения контента). Например, на OScon'25 в Цюрихе был отдельный доклад про аудиокриминалистику в журналистике. В дополнение к этому - graph-centric analysis. Графы связей сейчас на хайпе, ибо удобно.
14. Это пункт под звездочкой. Работа с API приложений, чтобы уметь доставать незащищенные данные. Я сейчас пытаюсь учиться этому на примере телеграма.

Некоторые иногда добавляют блок про reproducibility и evidence discipline. Честно говоря, я просто фиксирую весь путь расследования и особо не заморачиваюсь. Где надо приложить источник или проследить путь информации - все есть. У меня есть свои форматы отчетов, иногда я формирую их под удобство заказчика.

И есть еще один пункт, который я бы добавила, но он очень специфический. Я сама этим занимаюсь уже некоторое время. Это создание локальной информационно-аналитической системы.

Примеры:

- https://www.worldmonitor.app/

- https://arxiv.org/abs/2503.03215 (но рукопись потом отозвали)

- https://x.com/bilawalsidhu/status/2024672151949766950?s=67

Я немного расскажу о своем проекте. Не смогу расписать все планируемые функции по понятным причинам, но, тем не менее.

Что будет входить в базовые задачи ИАС?

1. Сборка и обработка данных из разнородных источников (первичная обработка, нормализация, подготовка)
2. Извлечение фактов, событий, сущностей, связей (с помощью ML+IE-моделей типа OneIE\DyGIE\TARS)
3. Построение внутренней базы знаний (на основе Neo4j для начала, с векторным поиском, индексацией, обогащением фактами и тд)
4. Дополнительная обработка с помощью локального LLM с RAG (llama.cp)
5. Удобная визуализация

Дополнительные обвесы планируются, но говорить о них пока нет смысла, потому что сейчас я только поднимаю mvp.

Рассчитываю на то, что это очень сильно будет помогать при работе с проектами, которые имеют много сущностей. Но при этом, для безопасности, нужна локальная развертка, тот же мальтего в этом плане не подходит.

Сложные времена наступили...

I don't currently have a private practice (only in exceptional cases), but once a person named B. approached me with a specific request that I found very interesting to look into.

It's a short case, but I still wanted to share it.

How it all began

B. makes fairly specific, narrowly focused applications (not in a bad way :) ). At some point, he found out that someone from asian forums had started selling his applications, promising additional bonus features. B didn't care about legal disputes, he was just consumed by curiosity: “Who needed this and why? What bonus features are they promising?”

Let's go?

The content appeared on various asian forums such as 52pojie and Kanxue. We found several such ads on one chinese resource: the same nickname, preview, description, Telegram as the contact point, and we also found payment details. Telegram was clean and recently created, and the crypto addresses did not provide any useful information.

So, should we work with the nickname? It would be desirable to find additional accounts, possibly some reviews about this seller, discussions about him, where there might be new information.

The nickname problem
In a normal situation, we would copy the nickname and start searching for it using dorks and various nickname search resources, but not today. We tried, of course, but it didn't yield any significant results. As it turns out, this method does not always work on the asian internet. Why?

• Nicknames are rarely used as exact strings.
• They are almost never copied verbatim.
• They exist more as a description or sound than as a stable unique identifier.
• The same set of characters can have different meanings depending on the context, for example, being part of an expression rather than an identifier.

A nickname in such discussions is not a unique name, but an “object of retelling,” so when a user with a latin nickname appears on an asian (chinese, for example) forum, the following happens:

• someone rewrites the nickname in characters based on how it sounds
• someone shortens it
• someone describes it (“that seller with the nickname X”)
• someone uses a hybrid of latin and local characters

As a result, the nickname begins to exist in several forms at once, and none of them are required to match the original string. The same thing happens if the original nickname is not in latin but in chinese characters.

So the task was not to find the exact same nickname, but to reconstruct how it might have been retold or adapted.

Furthermore, it is advisable to consider adaptation for several languages, including russian and english.

What does the direct phonetic transcription into chinese characters look like?

• 诺 - (nuò) roughly like “No”
• 瓦 - (wǎ) roughly like “Va”
• 艾克斯 - (àikèsī) fits “X”

Total possible transcription: 诺瓦艾克斯

This is not a translation of the meaning - it is a representation of the sound.

In reality, in conversations and discussions, no one writes the full phonetic nickname, they write an abbreviated version because long transcriptions are inconvenient. For example:

• 诺瓦 (nuò wǎ) - short form
• 艾克斯 as a separate word for “X”

These same parts can be combined, simplified, or joined together, for example: 诺艾斯 or 瓦艾, etc.

That is, different people can write different variants that sound similar but do not match verbatim

Sometimes it can be even worse, and semantic variations appear. This is when, in transcription, the choice of characters can not only convey the sound, but also bring additional meaning - depending on the characters chosen. I don't fully understand how this works, but there seem to be examples.

One possible option is 诺瓦克 (nuò wǎ kè), which sounds close to the original:

• 诺 - nuò (means “promise, agreement”)
• 瓦 - wǎ (means “roof tile, ceramic tile”)
• 克 - kè (often used in borrowings)

Or 牛娃想 - niú wá xiǎng, ox + child + think/want.

Linguists and people familiar with East Asian languages, please correct me if I am mistaken.

Continued

We did find mentions of this seller on a couple of american forums, but this did not yield any new information. More interesting information was found on a Korean forum, where one user wrote about fraud in the reviews (surprisingly, only one), but wrote quite a long time ago.

Initially, we collected all possible variations of the nickname so that we could check each one separately. On this forum, we came across a rather unusual spelling of the name, which we decided to check right away. Since the review was written a long time ago, perhaps it would be related to the seller's old accounts, which we could use to identify the person?

That's how it turned out. This nickname was linked to other accounts on various IT forums (but on different topics and in completely different areas), and one of them had a link to facebook for communication. The facebook account was under his real name (we later wrote to him for fun), with a photo, but without any specific details.

It immediately reminded me of a situation when I managed to identify one “anonymous” person from a cybersecurity community: his account had a link to his website. The website was empty, but it had been indexed by the web archive a long time ago, and the old version of the website had a link to a vk (vkontakte) group with only one administrator. The page was also empty, but vkhistory (tool) came to our rescue - the page previously had a phone number listed. I checked the data against his messages from various telegram chats - everything matched.

Сейчас я не веду частную практику (только исключительные случаи), но однажды ко мне обратился человек Б. со специфическим запросом, с которым мне было очень интересно разобраться

Это короткий кейс, но мне все равно захотелось о нем рассказать.

Как все начиналось

Б делает достаточно специфические узконаправленные приложения (не в плохом смысле :) ). В какой-то момент он узнал, что какой-то человек из азиатского сегмента начал продавать его приложения, дополнительно обещая бонусные функции. Б не было дела до юридических разборок, его лишь разъедало любопытство "кому и зачем это понадобилось? какие бонусные функции обещает?"

Поехали?

Контент всплывал на разных азиатских форумах вроде 52pojie или Kanxue. На одном китайском ресурсе мы нашли несколько таких объявлений: один и тот же ник, превью, описание, телеграм как точка для связи, выцепили еще платежные данные. Телеграм был чистый и недавно созданный, крипто адреса никакой полезной информации не дали.

Что ж, работаем с ником? Желательно найти дополнительные аккаунты, возможно, какие-то отзывы об этом продавце, его обсуждения, где будет новая информация.

Проблема с ником

В обычной ситуации мы бы скопировали ник и стали искать его через дорки и разные ресурсы для поиска по нику, но не сегодня. Мы, конечно, попробовали, но это не дало особых результатов. Как оказалось, такой алгоритм далеко не всегда будет работать в азиатском интернете. Почему?

• никнейм редко используется как точная строка
• почти никогда не копируется дословно
• существует скорее как описание или звук, чем как устойчивый уникальный идентификатор
• один и тот же набор иероглифов может иметь разные значения в зависимости от контекста, например, быть частью выражения, а не идентификатором

Никнейм в таких обсуждениях - это не уникальное имя, а "объект пересказа", поэтому когда пользователь с латинским ником появляется на азиатском (китайском, например) форуме, происходит следующее:

• кто-то переписывает ник иероглифами по звучанию
• кто-то сокращает его
• кто-то описывает его (“тот продавец с ником X”)
• кто-то использует гибрид латиницы и локальных символов

В результате ник начинает существовать в нескольких формах одновременно, и ни одна из них не обязана совпадать с оригинальной строкой. То же самое происходит, если исходный ник не латинский, а иероглифический.

Поэтому задача была не «найти точно такой же ник», а восстановить, как его могли пересказывать.

Более того, желательно рассмотреть адаптацию для нескольких языков, включая русский и английский.

Хоть основные объявления и были размещены в китайском сегменте, но:

• контент нишевый
• аудитория международная
• такие темы могут активно репостить

Поэтому один и тот же продавец, выложив объявление в китайском сегменте интернета, может обсуждаться на корейском форуме, попасть в японскую или американскую подборку инструментов и тд.

Каждый раз ник может адаптироваться в речи локальной аудитории, поэтому ник разбирался как:

• фонетическая конструкция
• возможные слоги
• допустимые локальные формы записи

Сейчас покажу пример.

Допустим, у нас есть ник NovaX.

Как выглядит прямая фонетическая транскрипция в китайские иероглифы?

• 诺 - (nuò) примерно как "No"
• 瓦 - (wǎ) примерно как "Va"
• 艾克斯 - (àikèsī) подходит под "X"

Итого возможная транскрипция: 诺瓦艾克斯
Это не перевод значения - это передача звучания

В реальности же в разговорах и обсуждениях никто не пишет полный фонетический ник, пишут сокращенный вариант, потому что длинные транскрипции неудобны. Например:

• 诺瓦 (nuò wǎ) - короткая форма
• 艾克斯 как отдельное слово для “X”

Эти же части могут комбинироваться, упрощаться или соединяться вместе, например: 诺艾斯 или 瓦艾 и т.п.

То есть разные люди могут написать разные варианты, которые звучат похоже, но дословно не совпадают

Иногда может быть еще хуже, и появляются семантические вариации. Это когда при транскрипции выбор иероглифов может не только передавать звук, но и привносить дополнительное значение - в зависимости от выбранных иероглифов. Я не до конца разобралась, как это работает, но вроде есть примеры.

Один из возможных вариантов - это 诺瓦克 (nuò wǎ kè), который показывает звучание близко к оригиналу:

• 诺 - nuò (означает “обещание, согласие”)
• 瓦 - wǎ (означает “черепица, керамическая плитка”)
• 克 - kè (часто используется при заимствованиях)

Или 牛娃想 - niú wá xiǎng, бык + ребенок + думать\хотеть.

Востоковеды и знающие азаиатские языки, поправьте меня, пожалуйста, если я где-то ошибаюсь.

Продолжение

Упоминания этого продавца мы действительно нашли на паре американских форумах, но никаких новых данных это не принесло. Более интересная информация оказалась на одном корейском форуме, где в отзывах один пользователь писал про мошенничество (удивительно, что только один), но писал достаточно давно.

Изначально мы собирали всевозможные вариации никнейма, чтобы потом отдельно проверять каждый. На этом форуме мы встретили не очень обычное написание имени, которое решили проверить сразу. Так как отзыв написан давно, может, это будет как-то связано со старыми аккаунтами продавца, по которым мы сможем идентифицировать личность?

Так и вышло. Этот никнейм был связан с другими аккаунтами на разных айтишных форумах (но другой тематики и по совершенно другим направлениям), и на одном таком была указана ссылка на фейсбук для связи. Фейсбук был на реальное имя (мы потом с ним списались по приколу), с фотографией, но без особых подробностей.

Сразу напомнило ситуацию, когда удалось идентифицировать одного "анонима" из кибербезопасной тусовки: в его аккаунте была ссылка на его сайт. Сайт был пустой, но когда-то давно его успел проиндексировать веб архив, а в старой версии сайта была ссылка на вк группу, где был только один администратор. Страница тоже была пустая, но vkhistory нам в помощь - на странице ранее был указан номер телефона. Я сверила данные с его сообщениями из разных тг-чатов - все совпало.

Оставшиеся документы можно поделить на три смысловые части

1. Упущения спецслужб
   Как ФБР реагировало в первые часы и дни после убийства Кеннеди, допущение убийства Освальда, несмотря на предупреждения, потому что ФБР якобы знало о рисках для жизни Освальда. После трагедии ФБР и ЦРУ сатали сильно беспокоиться об охране своих собственных секретных источников, именно поэтому часть материалов удерживалось в тайне. Американские спецслужбы долгое время вели наблюдение за Освальдом и воспринимали его как возможную угрозу (но не острую), так как он был бывшим морпехом, перебежчиком в СССР, затем вернувшийся. Поэтому после убийства спецслужбы старались оценить степень своей ответственности за это упущение. Документы как раз показывают недостаточную слаженность взаимодействий спецслужб, ведь в должном формате не были переданы данные о встрече с Костиковым, который курировал "отдел 13" в КГБ. В 1963 году ФБР в Новом Орлеане вообще было закрыто наблюдательное дело по Освальду из-за отсутствия признаков шпионажа, а позже обнаружилось, что у ЦРУ была отдельная папка на Освальда с фиксацией его действий (201 file)
   
2. Новые детали портрета Освальда
   Сюда входила информация о подтверждении работы в одиночку, никаких признаков сговора замечено не было, он наоборот фигурировал как странный человек с радикальными взглядами.
   Поездка в Мехико, встреча с Валерием Костиковым, фиксация его взаимодействия с советским и кубинским консульствами. В 1962 году он вернулся в США, оставаясь под наблюдением ФБР (они отслеживали его переписки и публичную активность, гипотезы о возможной мотивации.
   
3. Альтернативные версии
   Причастность Кубы к убийству Кеннеди - одна из самых популярных теорий, однако, материалы не содержат доказательств участия кубинского правительства. Правительство активно открещивалось от Освальда, заявляя, что он псих, а убийство Кеннеди это внутреннее дело США.
   Следующая популярная теория - участие мафиозных структур. Она также не была подтверждена документами, сама теория строилась на Джеке Руби (убийца Освальда), который имел в прошлом связи с преступным миром. Забавно, что в документах всплывает сотрудничество ЦРУ с мафиозными авторитетами (например, Джон Росселли и Сэм Джанкана), якобы нанимая их для покушений на Кастро.
   С Джеком Руби связывают и тот факт, что он мог пытаться "заткнуть рот" Освальду, но в новых документах ничего нового увидеть не получится, потому что изначально было сказано, что Руби действовал интенсивно. И опять в ФБР был звоночек в виде анонимного звонка о возможном покушении на Освальда, совершенного за пару часов до его перевозки)
   И много-много других конспирологических теорий, например, про заговор ЦРУ (а в ЦРУ действительно существовала группа, которая занималась международной торговлей оружия). В этой версии всплывала история о бывшем агенте военной разведке Гэри Андерхилла, который заявлял, что за убийством Кеннеди стояла группа сотрудников ЦРУ, и что он боится за свою жизнь. Он также рассказывал про контрабанду оружия и наркотиков, о которой узнал Кеннеди, поэтому и было решено его устранить. Интересный факт: через полгода таких высказываний Гэри был обнаружен мертвым с официальной версией - самоубийство. Версия Андерхилла была воспринята всерьез и отправлена на проверку.

Подведем итог всех рассекреченных документов

Главный вывод: отсутствие шокирующих сенсаций. Никакие известные версии не были опровергнуты. Некоторые политологии также отмечали, что никаких потрясающих находок найдено не было.

Документы, скорее всего, держали в тайне не из-за громкого разоблачения, а потому что они раскрывали подробности методов (часто не очень приятные) и расследований спецслужб. Проще говоря, правительственные агентства не хотели разглашения имен информаторов, технических приемов слежки, деталей сотрудничества с иностранными спецслужбами и тд.

Эти документы вызвали большой ажиотаж, и, конечно, многие СМИ и аналитические центры начали их разбирать. К сожалению, многие сошлись на мнении, что нового материала в документах очень мало, в основном, они содержали ранее опубликованные материалы. Теперь же просто появились подробности в виде имен, дат, подробностей проведения расследовании. Но эти документы бросили тень на спецслужбы, чем многие репортеры и расследователи пытаются воспользоваться, например, считая, что в документах достаточно доказательств для вывода о причастности отдельных сотрудников ЦРУ к заговору.

Рассекречивание имеет больше значения для исторической науки и прозрачности спецслужб\правительства, нежели для криминалистики. Несмотря на это, некоторые энтузиасты все равно хотят разобрать все документы до последней буквы.

Обращается ко мне некий John Doe с английским номером. Великобританские номера - одни из самых сложных по исследованию [ненавижу 1]. Было очень страшно ударить в грязь лицом.

Первая неудача

В UK нет единого общедоступного “национального реестра номеров”. Есть коммерческие lookup-сервисы (например, Numverify, yellowpages, OpenCNAM и тд (смотрела в подборках инструментов по UK), но они дают оператор и тип линии [ненавижу 2].

Гуглеж в разных поисковых сервисах тоже не дал информации.

Первая удача

Давайте искать мессенджеры.

• WhatsApp
  В моей практике англичане действительно часто привязывают свои номера к whatsapp, что позволяет часто увидеть аватарку и статус (иногда) по номеру, если пользователь не закрыл их в настройках приватности.
• Telegram
  По телеграму все просто, вы когда вводите телефон формата "+000000", то он выдает "этот контакт зарегистрирован\не зарегистрирован в телеграме". Ура, есть телеграм. Без юзерки, ок, но есть id. По id смотрим чаты, в которых он был замечен, и сообщения. Было упоминание одного региона. Запомнили это.

Раскручиваем цепочку

Что же..вытаскиваем аватарку из ватсапа и пробуем с ней что-то сделать.

• Скачивание и очистка EXIF
  Это заведомо шаг ради прикола, картинки и фото в мессенджерах почти всегда очищены от EXIF-данных. Поэтому любые способы вытащить метаданные почти нулевые.
• Поиск через TinEye/Yandex
  Если пользователь где-то выкладывал то же фото, система найдёт совпадения. Google прикрыл эту лавочку, ****************************, извините, храни его Господь.

Итак у нас на руках есть: фото не очень хорошего качества, английский номер, аккаунт в ватсапе, телеграме, регион.

Гипотеза: человек не выглядит пожилым, имхо, ему лет 45, поэтому, вероятно, он может использовать какой-нибудь фейсбук. Чекаю телефон в утечке фейсбука - есть. Отлично, идем. Страница пустая, есть фото с женщиной на автарке, друзья недоступны, но видим еще фамилию.

Имя + фамилия + аккаунт в ватсаппе и тг + номер + потенциальные родственники + фейсбук. Потрясающе для английского номера.

Так как страница пустая, то посмотреть лайки\комменты\репосты не вариант. Пошли в поиск искать однофамильцев в том же регионе, зафиксировав в памяти лицо женщин.

И тут нахожу я молодую женщину лет 23, на фото свадебные фотографии. "Очевидно, это дочь". В Фейсбуке вижу двойную фамилию "Lastnamefriend-Tree", тем более, скорее всего, дочь. Я начинать скроллить ее ленту и, наконец, нахожу человека с нашей аватарки в ватсапе. Там была фотография "My daddy and my mommy" и куда сердечек. А у матери просто была другая фамилия, она не стала менять ее после свадьбы [ненавижу 3]

Что получилось в итоге?

Это очень простой кейс, не требующих особых навыков киберразведки и знакомств, делающийся за час

Но мне было важно показать разнообразность клиентуры и рассказать про счастливый конец. В чем он заключается? Я мало что знаю о своем заказчике, знаю лишь то, что он потерял боевого товарища в Афганской или Иракской кампаниях, и их очень многое связывает.

Берегите себя и своих близких :)

Share your plans for professional training and your vision!

1. Flexibility/adaptability

• There are proven algorithms for solving routine tasks.
• However, in the event of non-standard deviations, new algorithms and methodologies are quickly selected and created, combining different techniques (scraping, social network analysis, named entity recognition, machine learning, etc.).
• Quickly adapts to changes: closure of one collection channel, emergence of new regulations, API updates, etc.

2. Own working ecosystem

• When writing scripts and small utilities for themselves: they automate repetitive steps, integrate different APIs and services into a single pipeline: for example, collecting and parsing data on a schedule or downloading files, processing and cleaning data, and then combining it.
• Integration from a conditional X API with the addition of data from WhoIS and OSM if necessary.
• They save their work in the same Git, which, if necessary, is ready for quick refactoring and scaling.

3. Deep subject-specific and regional expertise

• This is if you have worked/are working in many countries or have dealt with highly specialized topics (as I did with aviation parts).
• Master the subtle nuances of the language (for example, know that it is better not to use current Arabic translators, as they do a VERY poor job), culture, and local legislation in the context of information gathering, and be able to “read between the lines” in specific sources (forums, messengers).

4. Extensive and active networking

• Maintain contact with colleagues from other teams and countries, participate in conferences and various forums.
• Exchange life hacks, quickly find experts in narrow fields to obtain unique information.
• The more sources you have, the more likely you are to find the necessary information that cannot be found in open data.

5. Big data

• Be able to work with large volumes of unstructured data (parsing, NLP, ability to work with Excel (no jokes!!!)).
• Visualize conclusions for convenience. Some diagrams are so huge that an outsider looking at them will not understand anything. Maltago, mind maps — it doesn't matter what you use to create them.

6. Abstracting from the personal + verification

• Doubting the “obvious,” correctly testing hypotheses, attempting to refute your own hypotheses to avoid conditional “tunnel thinking.”
• Ability to correctly structure verification, including with the help of resources that specialize in this.

7. Continuous self-learning

• Keep track of new tools and trends in the world of cybersecurity and OSINT, learn new languages, tools, and methodologies in a timely manner.
• There is a lot more that could be said here that is not very legal, because there are many methods for expanding your information gathering skills.

8. Stress resistance and persistence

• You need to be prepared to spend hours digging through “junk” or routine/uninteresting data until you find a valuable piece of information. But it is important to remember that this depends on the feasibility of the task.
• Don't give up on a task at the first sign of failure, but try to find new approaches and entry points.

9. Integration with AI

• The era of close cooperation with AI has already begun. You need to adapt to this and, in order to optimize your work, share it with AI, knowing your strengths and weaknesses and those of AI.

10. Creative spirit (*)

• Personally, it bothers me a little when I am given a task, but there are no tools, no open information, literally nothing. And I try to do something about it. Several times I even succeeded. For me personally, it is important to solve such problems.

There may also be a point about ethics and legality, but it depends on where, how, and what you are working on.

There could also be another point 11 about implementation, but that requires a lot of work, i.e., field practice and a great deal of knowledge/practice in general.

That's how it is.

Делитесь своими планами на профессиональное обучение и видение!

1. Гибкость\адаптивность
• Есть отработанные алгоритмы для решения рутинных задач.
• Однако, при нестандартных отклонениях быстро подбираются и создаются новые алгоритмы и методики умеют комбинировать разные техники (скрапинг, Social Network Analysis, Named Entity Recognition, машинное обучение и т. д.).
• Быстро перестраиваются под изменения: закрытие одного канала сбора, появление новых регуляций, обновления в API и т. д.
2. Собственная рабочая экосистема
• Когда пишутся скрипты и маленькие утилиты под себя: автоматизируют повторяющиеся этапы, интегрируют разные API и сервисы в единый пайплайн: например, собирать парсить данные по расписанию или скачивать файлы, обрабатывать и чистить данные, а потом объединять
• Интеграция из условного X API с добавлением данных из WhoIS и OSM при необходимости.
• Сохраняют в том же гите свои наработки, которые, в случае чего, готовы к быстрому рефакторингу и масштабированию.
3. Глубокая предметно-региональная экспертиза
• Это если вы работали\работаете по многим странам или имели дело с узкоспециальной тематикой (как у меня был кейс про авиационные детали)
• Владеть мелкими нюансами языка (например, знаете, что нынешними переводчиками на арабский лучше не пользоваться, они ОЧЕНЬ плохо это делают), культуры, местного законодательства в контексте сбора информации, умеете «читать между строк» в специфических источниках (форумы, мессенджеры).
4. Широкий и активный нетворкинг
• Удерживать связи с коллегами из других команд и стран, участвовать в конференциях, разных форумах.
• Обмен лайфхаками, быстрый поиск экспертов в узких областях, чтобы получить уникальную информацию.
• Чем больше у вас источников -> тем больше вероятностей узнать необходимую информацию, которую не найти в открытых данных

5. Big data

• Умеете работать с большими объёмами неструктурированных данных (парсинг, NLP, умение работать с Excel (без шуток!!))
• Визуализация выводов для удобства. Бывают такие схемы огромные, что если человек со стороны посмотрит - не поймет ничего. Мальтего, майндмапы - неважно в чем ты это создаешь.

6. Абстрагироваться от личного + верификация

• Сомнения в «очевидном», правильная проверка гипотез, попытки опровергать собственные гипотезы для избегания условного "туннельного мышления".
• Умение правильно выстраивать верификацию, в том числе, с помощью ресурсов, которые на этом специализируются

7. Постоянное самообучение

• Следить за новыми инструментами и трендами в мире кибербезопасности и OSINT, вовремя осваивать новые яп, инструменты, методики.
• Тут можно много еще сказать не очень законного, потому что расширять компетенции в сторону сбора информации можно большим количеством методов.

8. Стрессоустойчивость и настойчивость

• Нужно быть готовым часами копаться в «мусорных» или рутинных\неинтересных данных, пока не найдешь ценный фрагмент. Но важно помнить, что это зависит от целесообразности задачи.
• Не бросайте задачу при первых неудачах, а пробуйте искать новые подходы и точки входа.

9. Интеграция с ИИ

• Время плотного сотрудничества с ИИ уже началось, нужно к этому адаптироваться и для оптимизации разделить с ним свою работу, зная свои и его сильные и слабые стороны.

10. Творческое начало (*)

• Лично меня немного корежит, когда мне дают задачу, но по ней нет инструментов, нет открытой информации, нет буквально ни-че-го. И я пытаюсь что-то с этим делать. Несколько раз даже получилось. Лично для меня важно закрывать какие-то такие проблемы.

Тут может быть еще пункт про этику и легальность, но это в зависимости от того, где, как и над чем вы работаете.

Здесь может быть и еще один пункт 11 про внедрение, но это требует огромной рабочей, т.е., полевой практики и очень много знаний\практики вообще.

Такие дела.

This is about ChatGPT.

Some time ago, I was skeptical about AI because ChatGPT handled data analysis, research, and sourcing primary references very poorly. Now, however, these skills have improved significantly. Competitors like DeepSeek lag behind on many fronts and constantly “hallucinate.”

Nonetheless, in narrow specialized fields ChatGPT still has issues, as many researchers note (I follow numerous chats and channels across different disciplines). It can make mistakes even when solving medium-difficulty problems in algebra or field theory. Hell, sometimes it even messes up basic algebra problems!

Practical Utility

These days, ChatGPT already saves a lot of time, including in work processes. Tasks it still doesn’t handle well:

• Researching and compiling dossiers on individuals or companies
• GEOINT (geospatial intelligence)
• Building phishing chains based on the latest trends
• Document analysis

Where it can help:

1. Large-scale data analysis (though it’s better not to upload entire files; send smaller fragments.)
2. Idea generation. Suppose I have a problem and need ideas or algorithms to solve it. I sketch out 5–6 options, then ask ChatGPT for help, and it offers several more—some I hadn’t even thought of.
3. Getting up to speed on new OSINT tools.
4. Writing parsers and other scripts. There’s a caveat here: a professional developer friend of mine can easily spot the difference between code written by ChatGPT and code written by, say, a mid-level engineer.

Important: Never share confidential details of your project.

What factors will influence the output, the quality of the information provided, and more effective interaction with AI (I won’t discuss different versions—that’s obvious)?

• Prompts. The more precisely the task is defined, the more useful the response. Ideally specify goals, types of sources, output format, and a description of the task. This also includes follow-up questions and refinements.
• Temperature setting. ChatGPT’s “temperature” controls randomness and creativity:
• Low (e.g., 0.2): favors common, predictable answers; best for tasks requiring accuracy and reliability, such as technical questions or code generation.
• Medium (e.g., 0.7): balances creativity and reliability.
• High (e.g., 1.0): increases creativity and explores less common possibilities, which can yield more unique (or hallucinated) results.
• Plugins or custom API integrations (e.g., web-search plugins).
• Structured data is generally processed more accurately than “raw” data.

Use Cases

Case 1

Problem: extract a list of employee names, positions, emails, and phone numbers from a company webpage that contains dozens or hundreds of entries. Manually it would be tedious, so we ask ChatGPT to help:

1. It fetches the page HTML.
2. Parses the DOM with BeautifulSoup.
3. Uses regex to find matches for our data patterns.
4. Outputs in the desired format.

One might argue, “We have plenty of parsing tools like Octoparse, ParseHub, WebScraper, Data Miner, etc.” True—but they aren’t always convenient to set up or use. It’s a matter of preference.

Case 2

Problem: you have 200 links discussing the scandal—80 in English, 50 on Reddit, and 70 on Russian-language forums. You need to:

1. Download the texts.
2. Translate everything into Russian.
3. Cluster the texts by theme.
4. Provide a brief summary for each cluster.

How ChatGPT can assist:

• Parsing and data collection: Suggest a combination of requests + BeautifulSoup for forums and Reddit, plus tweepy for the Twitter API.
• Translation: Use the DeepL API or ChatGPT’s built-in translation plugin to normalize the language.
• Clustering: Transform texts with a sentence-transformers model (e.g., all-MiniLM-L6-v2).
• Summarization: Ask ChatGPT to summarize each cluster. If a cluster is too large, sample a few representative texts and request an overview.

Critical Note

Every AI-generated step and output must be verified with critical thinking—so you’ll still need to engage intellectually. But the time savings are real.

Речь пойдет о ChatGPT.

Некоторое время назад я была скептически настроена в отношении ИИ, потому что тот же ChatGPT очень плохо справлялся с анализом данных, поиском и выдачей первоисточников. Сейчас же эти навыки сильно улучшились. Конкуренты вроде DeepSeek по многим параметрам отстают и постоянно «галлюцинируют».

Однако в узкоспециальных областях у ChatGPT всё ещё есть проблемы, о чём говорят многие учёные (я читаю много чатов и каналов по разным направлениям). Он может ошибаться даже при решении задач средней сложности по алгебре или теории поля. Блин, иногда он ошибается в задачах по алгебре начальной сложности!

Работоспособность

Но сейчас ChatGPT уже экономит много времени, в том числе и в рабочих процессах. Какие задачи он пока не делает:

1. Поиск и написание досье на физических и юридических лиц
2. Geoint
3. Не очень хорошо справляется с построением фишинговых цепочек, основанных на последних трендах
4. Анализ документов

В чем он может быть полезен?

1. Анализ большого массива данных (но эти данные лучше не передавать в файлах + надо передавать небольшими фрагментами)
2. Генерация дополнительных идей. Допустим, у меня есть какая-то задача, где нужны идеи и алгоритмы по ее решению. Я накидываю 5-6 вариантов, потом прошу ChatGPT мне помочь, и он выдает еще несколько вариантов, некоторые из которых мне даже в голову не приходили.
3. Может помочь разобраться с новыми osint инструментами
4. Может помочь в написании парсеров и других скриптов. Но здесь тоже есть нюанс. У меня есть друг, он профессиональный разработчик, и он легко может отличить код от ChatGPT от кода, написанного, например, мидлом.

Важный момент: ни в коем случае не надо передавать конфиденциальные данные о задаче.

Какие факторы будут влиять на выдачу, качество выданной информации и более полезное взаимодействие с ИИ (про разные версии говорить не буду, это очевидно)?

1. Промпты. Чем более точно поставлена задача, тем полезнее будет выдача. Желательно указывать цели, типы источников, формат выдачи, описание задачи. Сюда же входят уточняющие вопросы\корректировка.
2. У ChatGPT есть еще такая штука как temperature, которая контролирует случайность и креативность ответов модели. Она бывает трех видов:
   - Low (например, 0,2). Отдаётся предпочтение более распространённым и предсказуемым ответам, и подходит для задач, требующих точности и достоверности, например при ответах на технические вопросы или генерации кода.
   - Medium (например, 0,7). Баланс между креативностью и надежности.
   - High (например, 1,0). Модель становится более творческой и исследует менее распространённые возможности, что может привести к более уникальным (или галлюциногенным) результатам.
3. Подключение плагинов веб-поиска или собственных API интеграций.
4. Структурированные данные обычно обрабатываются точнее, чем "сырые"

Кейсы

Кейс 1

Простой кейс, который можно решить с помощью ИИ, сэкономив много времени:

Задача: нужно получить список ФИО, должностей, почт и телефонов сотрудников фирмы. Все эти данные были доступны на одной из страниц этой компании, но сотрудников указано очень много. Вручную делать это было бы долго и неприятно, поэтому просим помочь ChatGPT с этой задачей. Он загружает html страницы, разбирает dom с помощью BeautifulSoup, по регулярным выражениям ищет совпадения с шаблонами нужных нам данных и сохраняет в том формате, который нам нужен.

Можно возразить: "У нас же есть много инструментов для такого парсинга вроде Octoparse, ParseHub, WebScraper, Data Miner и тд". Их не всегда удобно использовать и настраивать. Так что здесь на вкус и цвет.

Кейс 2

Задача: есть набор из 200 ссылок на обсуждения скандала <name>. Есть 80 ссылок на английском, 50 на Reddit, 70 на русскоязычных форумах.

Надо скачать тексты по ссылкам, перевести все на русский язык, сгруппировать тексты по смысловым кластерам и по каждому дать краткое резюме.

Чем может помочь ChatGPT?

1. Парсинг и сбор данных: предложил комбинацию requests + BeautifulSoup для Reddit и форумов, и tweepy для Twitter API.
2. Для перевода можно использовать API DeepL или встроенный плагин перевода в ChatGPT, чтобы нормализовать язык.
3. Кластеризация. Преобразование с помощью модели sentence-transformers (например, all-MiniLM-L6-v2).
4. Резюмирование для каждого кластера можно попросить ChatGPT. Если массив слишком большой, можно выбрать несколько текстов из кластера и попросить дать краткий обзор. Но это будет зависеть от объема каждого кластера.

Критически важно

Все шаги и выдачу ИИ нужно проверять и включать критическое мышление, так что думать все равно придется. Но время действительно экономится.